Risiko keamanan kontrak perpustakaan default LayerZero memicu perdebatan, peneliti menunjukkan adanya celah pemalsuan pesan lintas rantai

BlockBeats berita, 8 Mei, beberapa saat yang lalu, di grup Telegram ETHSecurity Community, terjadi perdebatan sengit antara Bryan Pellegrino, salah satu pendiri LayerZero, dan peneliti keamanan. Peneliti menunjukkan bahwa kontrak perpustakaan default LayerZero memiliki cacat fatal, yang memungkinkan LayerZero Labs tanpa waktu terkunci, melakukan upgrade instan terhadap kontrak tersebut, sehingga dapat memalsukan pesan lintas rantai, yang merupakan penyebab utama dari serangan rsETH sebelumnya. Dikabarkan, lebih dari 3 miliar dolar AS dalam LayerZero OFT (token homogenisasi seluruh rantai) pernah menghadapi risiko karena hal ini.

Menurut pengungkapan Banteg, hingga beberapa minggu yang lalu, proyek-proyek utama seperti Ethena, EtherFi masih menggunakan kontrak perpustakaan default yang berisiko ini. Saat ini masih ada sekitar 178 juta dolar AS yang terpapar risiko serangan potensial. Data on-chain yang diungkapkan menunjukkan bahwa signer multi-tanda tangan LayerZero Labs menunjukkan aktivitas non-multi-tanda tangan, termasuk transaksi Meme coin, pertukaran di DEX, dan operasi jembatan lintas rantai. Ini berarti kunci multi-tanda tangan di lingkungan produksi terhubung ke situs web biasa, yang secara signifikan meningkatkan risiko serangan phishing. Para kritikus secara langsung menyatakan bahwa manajemen kunci pribadi LayerZero “seperti pelajar SMA”.

Menanggapi hal ini, Bryan, salah satu pendiri LayerZero, menjawab bahwa signer terkait telah dihapus, transaksi tersebut adalah “pengujian”, dan konfigurasi default cocok untuk “tim yang tidak memprioritaskan keamanan”, serta menekankan bahwa sebagian besar aplikasi utama telah beralih, LayerZero sedang mendorong keamanan pengguna, tetapi tidak menuntut pertanggungjawaban satu per satu terhadap semua aplikasi.